Auteur Sujet: Configuration RouterOS (Mikrotik) pour livebox (Lu 339234 fois)

Florian · « **Réponse #348 le:** 31 mars 2016 à 11:22:20 »

BM, je te confirme que ton serveur dns est accessible depuis l'extérieur (je viens de m'y connecter avec un nslookup - tonip et les résolutions fonctionnent). A mon avis, c'est un truc a sécuriser.

BM92 · « **Réponse #349 le:** 31 mars 2016 à 11:24:05 »

Citation de: buddy le 31 mars 2016 à 10:44:04

Oui mais si le serveur a pour habitude de répondre quand il est allumé les requêtes continuent quand il est éteint.

Le serveur répond oui mais une fois éteint ca continu
Comme dis plus haut, tout éteint sauf le boitier ONT + le routeur c'est la même chose
La nuit même chose

BM92 · « **Réponse #350 le:** 31 mars 2016 à 11:27:10 »

Citation de: Florian le 31 mars 2016 à 11:22:20

BM, je te confirme que ton serveur dns est accessible depuis l'extérieur (je viens de m'y connecter avec un nslookup - tonip et les résolutions fonctionnent). A mon avis, c'est un truc a sécuriser.

Tu y arrive via mon IP ?
Tu sécurise cela comment ?

buddy · « **Réponse #351 le:** 31 mars 2016 à 11:32:39 »

Il est sous quoi ton serveur ?
Une distribution Linux ?

Tu as mis le dmz vers ton serveur je suppose..
Pourquoi ?
Le mieux serait de ne redireger que les ports nécessaires... (Pas le port 53 qu'il n'est nécessaire d'ouvrir que si ton serveur doit faire dns pour tous)

Florian · « **Réponse #352 le:** 31 mars 2016 à 11:37:57 »

EDIT : Mon post par du principe que c'est le serveur DNS du routeur qui répond, pas un éventuel serveur interne à ton réseau. Si c'est un interne à ton réseau, supprime juste la règle de nat qui permet d'y accéder.

Post :

Oui j'y arrive, ça veut dire que tu n'as pas sécurisé l'accès à ton routeur depuis l'extérieur. Du coup, ton serveur dns du CCR1009 (qui doit te servir en interne je suppose) est aussi accessible depuis l'extérieur.

Pour le sécurisé, le principe est toujours le même.

1) Tu définies les règles que tu veux sépcifiquement autoriser
2) tu fais ensuite une règle qui drop tout le reste.

Pour la partie accès au routeur (et je parle bien du routeur, pas des machines derrières, j'ai ça chez moi, c'est assez générique :

EDIT : remove car pas des erreurs lors du post.

Avec les commentaires tu devrais comprendre le principe

Dans mon cas, la dernière ligne de drop est un peu redondante avec l'avant dernière, mais par sécurité, toujours finir par un drop

Florian · « **Réponse #353 le:** 31 mars 2016 à 11:38:44 »

Citation de: buddy le 31 mars 2016 à 11:32:39

Il est sous quoi ton serveur ?
Une distribution Linux ?

Tu as mis le dmz vers ton serveur je suppose..
Pourquoi ?
Le mieux serait de ne redireger que les ports nécessaires... (Pas le port 53 qu'il n'est nécessaire d'ouvrir que si ton serveur doit faire dns pour tous)

A mon avis c'est le server DNS du routeur est accessible, pas forcèment un interne. Je me trompe peut être.

buddy · « **Réponse #354 le:** 31 mars 2016 à 11:39:53 »

Ok.
Comme il parle de son serveur depuis tout à l'heure...

Florian · « **Réponse #355 le:** 31 mars 2016 à 11:44:25 »

Suspens

BM92 · « **Réponse #356 le:** 31 mars 2016 à 12:17:38 »

Citation de: buddy le 31 mars 2016 à 11:32:39

Il est sous quoi ton serveur ?
Une distribution Linux ?

Linux je crois mais pas sur

Citation de: buddy le 31 mars 2016 à 11:32:39

Tu as mis le dmz vers ton serveur je suppose..

Dans le serveur je n'ai pas cette possibilité

Citation de: buddy le 31 mars 2016 à 11:32:39

Le mieux serait de ne redireger que les ports nécessaires... (Pas le port 53 qu'il n'est nécessaire d'ouvrir que si ton serveur doit faire dns pour tous)

Je vais étudier les règles de Florian

buddy · « **Réponse #357 le:** 31 mars 2016 à 12:26:19 »

Pourquoi avoir remplacer la LB puisque manifestement tu n'es pas à l'aise avec un routeur tiers ?

La Dmz se règle au niveau du routeur...

Slothy · « **Réponse #358 le:** 31 mars 2016 à 12:50:27 »

Pour tester si vous avez un DNS ouvert : http://openresolver.com/

Perso j'ai une règle qui autorise le DNS sur toutes les interfaces sauf le WAN (utiliser !WAN), ! pour "sauf" dans la destination.

BM92 · « **Réponse #359 le:** 31 mars 2016 à 13:00:27 »

Citation de: Florian le 31 mars 2016 à 11:37:57

add chain=input action=drop connection-state=invalid comment="Drop connex foireuse vers routeur"
add chain=input action=accept connection-state=established comment="autorise connex ok vers routeur"
add chain=input action=accept protocol=icmp comment="autorise le ping"
add chain=input action=accept src-address=192.168.1.0/24 in-interface=!pppoe-orange comment="autorise prise en main que depuis le lan"
add chain=input action=drop comment="drop le reste vers le router"

Avec les commentaires tu devrais comprendre le principe

Dans mon cas, la dernière ligne de drop est un peu redondante avec l'avant dernière, mais par sécurité, toujours finir par un drop

Je suppose que tu mets ces règles dans /ip firewall filter
Hormis la ligne add chain=input action=accept src-address=192.168.1.0/24 in-interface=!pppoe-orange qui est a modifier
Les autres peuvent être envoyer telle-quelle ?

Citation de: buddy le 31 mars 2016 à 12:26:19

Pourquoi avoir remplacer la LB puisque manifestement tu n'es pas à l'aise avec un routeur tiers ?

Pour me débarrasser de la L.B comme bon nombre d'entre nous, de ne pas être dépendant
De pouvoir passer un le nom de domaine de mon choix
D'avoir un débit légèrement améliorer en passant par le routeur
Pour la maitrise du routeur ou plus spécialement des réseaux il suffis de demander
Dans la L.B c'est assez simple mais dans un tel routeur cela se complique

Citation de: buddy le 31 mars 2016 à 12:26:19

La Dmz se règle au niveau du routeur...

Il faut que je regarde mais je ne crois pas
J'ai repris les règles de Baki donc faut que je regarde
Claude